2015-01-29 6 views
0

Я использую ниже конфигурационный файл, так что только те события, у которых есть теги «multiline, _xmlparsefailure», можно отправить в поиск Elastic. Но в моем случае все события, независимо от тегов, отправляются в ES. Может кто-нибудь предложить?Как отправить те события Logstash, которые имеют только «multiline, _xmlparsefailure» в тегах для Elastic Search

Конфигурационный файл

output { 
     if "multiline,_xmlparsefailure" in [tags] {  
         elasticsearch {  
          host => localhost 
          protocol => "http"  
        }  
        stdout { 
          codec => rubydebug 
        }  
      } 
     }  

данных журнала: Log-файл содержит Java StackTrace.

ответ

0

Увидев код, ни один из результатов не должен поступать в Elasticsearch. В любом случае попробовать этот подход - Вы должны рассматривать эти переменные как разные из них -

output { 
     if "multiline" in [tags] or "_xmlparsefailure" in [tags] {  
         elasticsearch {  
          host => localhost 
          protocol => "http"  
        }  
        stdout { 
          codec => rubydebug 
        }  
      } 
     }  
+0

Спасибо Вайнит. Я поднял еще один qs по адресу http://stackoverflow.com/questions/28219324/xmlparsefailure-thrown-by-logstash. Пожалуйста, смотрите. – Ajay